ubuntuusers.de

11. September 2022

Uptime Kuma - Selbstgehostetes Monitoring Tool

Meine Server überwache ich in der Regel mit checkmk (wenn dazu Posts interessant sind, lasst es mich gerne mal wissen). checkmk ist eine mächtige Alternative zu Icinga und Nagstamon, in manchen Fällen aber vielleicht zu mächtig. Hier ist Uptime Kuma durchaus eine geeignete Alternative.

Uptime Kuma - Selbstgehostetes Monitoring Tool
Dashboard von Uptime Kuma

Je nach Anwendungsfall ist weniger bekanntlich manchmal mehr. Besonders, wenn es Projekte gibt, bei denen ich auch für einfache Nutzer, die mit einem checkmk komplett überfordert wären gerne Statistiken herausgeben möchte. Der Entwickler selbst vergleicht es mit Uptime Robot, dem ich durchaus zustimme.
Uptime Kuma begrüßt angemeldete Benutzer mit einem aufgeräumten Dashboard, welches die wichtigsten Informationen bereithält, wie den aktueller Status, die Response-Zeit sowie die Laufzeit des Zertifikates.

Darunter kann man den vorherigen Verlauf einsehen (dessen Speicherdauer sich in den Einstellungen festlegen lässt) sowie eine History der vergangenen Events.

Uptime Kuma - Selbstgehostetes Monitoring Tool
Uptime Kuma - Status Page Beispiel mit mailcow

Wer allerdings auch Daten nach außen herausgeben möchte, möchte es vielleicht noch aufgeräumter haben. Platzhirsch ist hier mit Sicherheit Statuspage von Atlassian, welches für einfache Projekte durchaus eine Nummer zu groß sein kann. Hier bietet Uptime Kuma die Option Statusseiten für Projekte anzulegen. Einzelne Checks können zu Gruppen zugeordnet, sowie das Erscheinungsbild der Status-Seite mittels CSS angepasst werden. Um keine kryptische oder lange URL aufrufen zu müssen, lassen sich Domains auf Status-Seiten festlegen.

Treten Fehler oder Vorfälle auf, können indiviuelle "Incidents" erstellt werden, die dann oben auf der Startseite dargestellt werden um Besucher über eben jenen zu informieren. Hier würde ich mir allerdings noch etwas mehr Anpassungsmöglichkeiten bzw. Optionen, wie fortführende Kommentare wünschen.

Uptime Kuma - Selbstgehostetes Monitoring Tool
Uptime Kuma - Neuen Host anlegen

Es gibt mehrere Möglichkeiten einen Host zu überwachen. Neben der klassichen Abfrage wie HTTP(S) und Ports, können seit dem derzeit neusten Release 1.18 auch Docker Container abgefragt werden. Dazu muss Docker aber auf dem selben Host laufen oder aber über TCP mittels Docker Daemon abgefragt werden. Weitere Möglichkeiten zur Abfrage sind DNS, MySQL, PostgreSQL, Radius, MQTT und weitere.
Auch an Optionen wie Basic Authentification wurde gedacht, wenn man z.B. eine DEV-Umgebung hinter einer .htaccess-Abfrage prüfen möchte.

Benachrichtungen sind ebenfalls möglich. Diese können mit einer vielzahl an Services ausgelöst werden. Von diversen SMS-Dienstleistern, über Webhooks, Pushover bis hin zu Telegram gibt es diverse Kanäle.

Die Installation ist schnell und unkompliziert mittels Docker erledigt. Möchte man kein Docker verwenden gibt es aber auch die Möglichkeit Uptime Kuma direkt zu installieren. Dafür müssen NodeJS, Git und PMM auf dem Server installiert sein.

Ich habe mich bei mir für den interaktiven Installer entschieden. Dieser lässt sich einfach wie folgt aufrufen:

curl -o kuma_install.sh http://git.kuma.pet/install.sh && sudo bash kuma_install.sh

Ihr werdet dort direkt gefragt ob ihr die Installation mittels Docker oder NodeJS vornehmen wollt. Kleiner Hinweis, wählt ihr Docker, muss dieses vorher installiert sein. Im Falle, dass ihr euch für die lokale Installation entscheidet, werden alle Abhängigkeiten automatisch installiert.

Anschließend lauscht Uptime Kuma unter http://localhost:3001, wofür ich mir noch mittels nginx als Reverse Proxy einen Vhost angelegt habe.

Abschließend beachten sollte man bei all solchen selbstgehosteten Lösungen jedoch immer, dass sie nur von einem Ort aus prüfen. Größere Dienste wie Uptime Robot, Statuspage und Co. haben den Vorteil, dass sie dies von mehreren Orten auf der Welt tun.

10. September 2022

Am 02.09.22 tauchte die folgende „Nachricht“ im Heise Newsticker als Heise+-Artikel auf:

Bootloader-Signaturen per Update zurückgezogen: Microsoft bootet Linux aus

Was ist überhaupt geschehen:

Microsoft hat mit einem Windows-Update die Liste der gültigen Secureboot-Schlüssel für bestimmte Bootloader gesperrt. Dadurch starten Systeme diese Bootloader nicht mehr, wenn Secureboot aktiviert ist. Davon betroffen ist auch eine Grub-Version mit schwerwiegenden Sicherheitslücken:

https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass2021

Der wichtigste Aspekt an der Sicherheitslücke ist, dass Canonical und andere Distributoren die Signatur selbst zurückgezogen haben (Stichwort DBX/Revocation Database) und Microsoft dass nur mit einem Windows-Update für Windows selbst nachgeholt hat.

Zurück zur verlinkten Heise+-Nachricht:

Das perfide an diesem Artikel ist, dass der wichtigste Inhalt der Nachricht am Ende des Anrisstextes steht und die meisten Kommentatoren der Nachricht diesen Teil gar nicht mehr wahrgenommen haben:

Seither verhindert UEFI Secure Boot, dass etliche Linux-Distributionen booten. So konnten wir bei Redaktionsschluss das noch immer aktuelle Ubuntu 20.04 LTS und auch Manjaro Linux nicht mehr installieren – außer, man schaltet Secure Boot im BIOS-Setup ab. Auch Live-Linux-Systeme wie etwa Desinfec’t booteten nicht mehr auf PCs, bei denen zuvor das Windows-Update automatisch eingespielt wurde.

https://www.heise.de/hintergrund/Bootloader-Signaturen-per-Update-zurueckgezogen-Microsoft-bootet-Linux-aus-7250544.html

Wenn man diesen Teil genau liest, sieht man sehr schnell, dass es sich nicht um Linux-Installationen handelt, sondern einzig um allein um Installationsmedien bzw. Live-Systeme.

Es gibt genau zwei (!) Konstellationen, die von den gesperrten Bootloadern überhaupt betroffen sein können:

  1. Die erwähnten Bootmedien, welche noch die alte unsichere Grub-Version enthalten. Dazu gehört Ubuntu 20.04.4 und älter (Aber nicht 20.04.5). Ubuntu 22.04 ist davon nicht betroffen.
  2. Dualboot-Installationen, bei denen die Linux-Installationen schon seit mindestens einem Jahr (!) keine Updates mehr erhalten haben. Ubuntu hat z.B. das Sicherheitsupdate für Grub im Mai 2021 ausgeliefert.

Der Druckartikel in der c’t beschreibt dann auch genau diese zwei Szenarien, wobei nur letzteres ein größeres Problem darstellt, dass sich relativ schnell lösen lässt (SecureBoot abschalten, Linux-Installation updaten, SecureBoot wieder einschalten).

Das interessante ist, dass es nur genau ein Tech-Magazin weltweit gab, welches sich diesem Thema überhaupt angenommen hat, nämlich Heises c’t. In allen anderen Tech-Medien tauchte dieses „brisante“ Thema überhaupt nicht auf.

Wie kommt also Heise überhaupt darauf eine solche Nachricht zu veröffentlichen? Das lässt sich ziemlich einfach beantworten:

Heises desinfec’t Live-Linux-Virenscanner basiert in der aktuellen Version auf Ubuntu 20.04 und dadurch auf einer ISO-Datei, welche die verwundbare Version von Grub enthält. Wahrscheinlich haben ein paar Leser und/oder einzelne Heise-Mitarbeiter auf den Umstand hingewiesen, dass desinfec’t nicht mehr bootet und man hat aus diesem Umstand dann schnell einen Artikel gebacken.

Bevor jetzt hier Kommentare landen, die sich über SecureBoot und Microsoft im Allgemeinen aufregen wollen:

Man kann über den Sinn und Zweck von SecureBoot mehr als nur streiten. Nur ist die „Schuld“ diesmal definitiv nicht bei Microsoft zu suchen, da die Firma nur ihren „Pflichten“ nachgekommen ist, unsichere Bootloader zu sperren.

Mich persönlich stört viel mehr, dass Heise aus diesem „Nicht-Thema“ einen Artikel bastelt und ihn mit einer reißerischen Überschrift versehen hinter einer Paywall versteckt um möglichst viele Heise+-Abos zu verkaufen. Dazu kommt noch die Tatsache, dass es Heise dann auch nicht für notwendig hält die Clickbait-Überschrift zu korrigieren.

Dieser Artikel war es dann auch, der mich dazu gebracht hat, mein c’t-Abo zu kündigen.

9. September 2022

Fr, 9. September 2022, Lioh Möller

Eigentlich war es abzusehen, doch kürzlich war es so weit. Microsoft zog eine Vielzahl von Secure Boot Signaturen über ein Windows Update zurück, was dazu führte, dass viele parallele Linux-Installationen nicht mehr starteten.

Darunter fanden sich auch weit verbreitete Distributionen wie die Ubuntu LTS Variante im Versionsstand 20.04.

Bereits zu Beginn der UEFI/Secure Boot Implementierung sorgte der Hersteller aus Redmond dafür, alleinstehend die Kontrolle über die Zertifizierungsstelle zu erlangen. Gelungen ist dies, anhand langjähriger Verflechtungen mit Hardware-Herstellern.

Dies führte unter anderem dazu, dass auf aktuellen Geräten, beispielsweise von Lenovo, seit einiger Zeit standardmässig nur noch, die Microsoft Signaturen akzeptiert werden und im UEFI-BIOS zunächst sogenannte 3rd-Party-Zertifikate zugelassen werden müssen. Dabei handelt es sich um eine weitere Einschränkung, die ausschliesslich dazu dient, die Marktmacht von Microsoft weiter zu stärken und die Installation von alternativen Betriebssystemen wie GNU/Linux zu erschweren; unter dem Deckmantel der Sicherheit

Nachhaltige Lösungsansätze sind allerdings denkbar und hätten bereits zu Beginn in Betracht gezogen werden müssen. So wäre die Verwaltung der Zertifizierungsstelle und die Ausstellung der Zertifikate in der Hand eines unabhängigen Gremiums, welches beispielsweise als Stiftung organisiert werden könnte, eine mögliche Variante. Bei einem Missbrauch von Signaturen, läge es in der Verantwortung dieser Organisation, die Betriebssystemhersteller vorab zu kontaktieren, um einen für den Nutzer transparenten Übergang zu ermöglichen.

In Kombination mit einer Freien BIOS-Implementierung wie Libreboot oder dem eingeschränkt Freien osboot, stehen bereits heute nutzbare Lösungen zur Verfügung. coreboot in Verbindung mit LinuxBoot stellt darüber hinaus einen vollständigen alternativen Stack zu UEFI DXE dar.

Auch als Computeranwender hat man die Möglichkeit, die Entwicklung aktiv durch eine bewusste Kaufentscheidung zu beeinflussen.

Darüber hinaus sind Nutzer von Single-Boot Linux-Installationen von dem Windows-Update nicht betroffen.

Artikel auf heise+: https://www.heise.de/news/UEFI-Secure-Boot-Microsoft-sperrt-unsichere-Bootloader-per-Windows-Update-7220634.html

Fr, 9. September 2022, Ralf Hersel

Wie wir bereits im Mai berichteten, hat der IT-Dienstleister Dataport für das deutsche Bundesland Schleswig-Holstein einen Behördenarbeitsplatz erstellt. Anlässlich der 20. Kieler Open Source und Linux Tage zeigt Dataport, wie digitale Souveränität in der täglichen Arbeitspraxis der Verwaltung konkret aussehen kann. Interessierte können sich an einem Stand über den von Dataport entwickelten Linux-Arbeitsplatz für die Verwaltung und die dPhoenixSuite informieren. Mitarbeiter von Dataport präsentieren beide Lösungen, deren Basis Open-Source-Systeme sind.

Es handelt sich hierbei um einen standardisierten IT-Arbeitsplatz für die öffentliche Verwaltung, der mit dem Betriebssystem Linux und alternativen Open-Source-Programmen für die Behördenarbeit ausgestattet ist. Die dPhoenixSuite wiederum ist ein cloudbasierter Web-Arbeitsplatz. Ihre Komponenten bestehen aus Open-Source-Software. Sie bietet alle Funktionalitäten für die tägliche Computerarbeit, von E-Mail und Textverarbeitung bis zur virtuellen Zusammenarbeit.

Für den Einsatz von Open-Source-Systemen spricht, dass die Verwaltung mit ihnen die Kontrolle über die von ihr eingesetzte Software und die damit verarbeiteten sensiblen Daten behält: Der Quellcode ist offen, sie kann nach Belieben genutzt und weiterentwickelt werden. Dadurch geraten ihre Nutzer:innen nicht in technische Abhängigkeiten zu Herstellern und ihren Geschäftsmodellen, wie es beim Einsatz von proprietärer Software geschehen kann.

Interessierte können sich die Produkte auf der KieLux am 16. und 17. September ansehen. Wer nicht bis nach Norddeutschland reisen möchte, kann viel über die Anforderungen und den Aufbau des Linux-Arbeitsplatzes in dieser Studie von Dataport nachlesen.

Quelle: https://osb-alliance.de/news/kieler-open-source-und-linux-tage-dataport-praesentiert-digital-souveraene-loesungen-fuer-den-oeffentlichen-sektor

8. September 2022

Die MZLA Technologies Corporation hat mit Thunderbird 102.2.2 ein Update außer der Reihe für seinen Open Source E-Mail-Client veröffentlicht. Dieses behebt mehrere Fehler.

Neuerungen von Thunderbird 102.2.2

Mit dem Update auf Thunderbird 102.2.2 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht und behebt damit eine Reihe von Problemen, welche sich in den Release Notes (engl.) nachlesen lassen.

Der Beitrag Thunderbird 102.2.2 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

7. September 2022

XFCE gehört zu den Desktops, die sich der Einführung eines Docks standhaft verweigern. Während man bei Gnome und KDE längst nur ein Symbol für laufende und nicht-laufende Programme realisiert hat, hält XFCE an der traditionellen Trennung fest – gestartete Programme werden als Extra-Leiste dargestellt. Doch seit einiger Zeit gibt es eine Erweiterung für das XFCE-Panel, um dieses doch noch zum Dock werden zu lassen.


Die Dock-Funktion wird einfach wie jedes andere Element auf dem Panel hinzugefügt

Dank gnulinux.ch ist das Pinguinzubehör auf eine neue Panelerweiterung für XFCE aufmerksam geworden. Das musste ausprobiert werden: Denn obwohl Dock-Funktionalität mittlerweile zum guten Ton bei Desktopumgebungen gehört und die früher standardmäßige Trennung zwischen Anwendungsstartern und bereits laufenden Programmen fast völlig verdrängt hat, gab es bei XFCE mit Bordmitteln bislang keine Möglichkeit, ein Dock einzurichten.

Wer mit XFCE ein Dock wollte, musste ein separates Programm wie z. B. Plank dazunehmen. Das ist auch weiterhin so, XFCE bietet standardmäßig nach wie vor nur die klassische Variante aus Programmstartsymbolen und separater Taskleiste. Aber nun ist erstmals ein Plugin für das XFCE-Panel verfügbar, das auf das in die Desktopumgebung integrierte Leiste aufbaut und damit hier Dock-Funktionalität nachrüstet.

Bei z. B. Manjaro und Fedora befindet es sich bereits in den Paketquellen und lässt sich als xfce4-docklike-plugin installieren, bei anderen Distributionen lässt es sich ggf. über zusätzliche Quellen einbinden.

Benutzung

In der Bedienung leistet sich die XFCE-Ergänzung durchaus Eigenarten, die Handhabung unterscheidet sich von anderen gewohnten Docks: Ein Mittelklick auf ein Symbol öffnet nicht etwa eine weitere Instanz des jeweiligen Programmes, sondern bewirkt das Gegenteil: das laufende Progamm wird geschlossen. Die erwartete Funktion versteckt sich stattdessen hinter einem normalen Klick plus Hochstell-Taste – erst das ermöglicht das Öffnen weiterer Fenster desselben Programmes.


Die Dock-Erweiterung in Aktion

Auch die Fensterverwaltung über das Dock ist etwas ungewohnt: Ein Klick auf das Symbol bei mehreren geöffneten Fenstern bringt zwar auch alle Fenster in den Vordergrund und wechselt bei weiterem Klicken nacheinander durch sie hindurch – aber beim Überfahren des Symbols wird auch eine Auswahlliste eingeblendet. Diese lässt sich nur bei einzelnen geöffneten Fenstern abschalten.

Bewertung

Die Intuitivität, die man von anderen Docks gewohnt ist, wird mit dem XFCE-Plugin nicht ganz erreicht, die typische Bedienung weicht etwas ab vom Gewohnten. Dennoch ist es schön, auch mit XFCE nun das Panel als Dock nutzen zu können, ohne auf vollständige Alternativen zurückgreifen zu müssen. Damit ist nun auch im XFCE-Panel – auf Wunsch – die platzsparende Kombination von sonst separater Taskleiste und Programmstartern angekommen.

6. September 2022

Mozilla hat mit Firefox 104.0.2 ein Update außer der Reihe für seinen Desktop-Browser veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 104.0.2

Mit dem Update auf Firefox 104.0.2 behebt Mozilla das Problem, dass die Bildlaufleiste auf Touch-Geräten nicht länger mit dem Finger oder einem Stift bewegt werden konnte.

Das Update behebt außerdem Probleme bei der Wiedergabe von Videos und Audio-Dateien, wenn diese via Cross-Origin-Frame eingebunden sind oder mit der Content-Security-Policy sandbox ausgeliefert werden.

Ein weiteres behobenes Webkompatibilitäts-Problem betrifft die Darstellung von via Lazy Loading eingebundenen Bildern, welche unter bestimmten Umständen nicht angezeigt worden sind.

Schließlich wurde die versteckte Option widget.windows.hide_cursor_when_typing auf false gesetzt, womit Firefox standardmäßig nicht länger der Windows-Einstellung folgt, den Mauszeiger während der Eingabe von Text automatisch zu deaktivieren, da dies Webkompatibilitätsprobleme verursachte.

Behoben wurde darüber hinaus eine mögliche OOM-Absturzursache, von welcher Nutzer einer 32-Bit-Version von Windows betroffen waren.

Der Beitrag Mozilla veröffentlicht Firefox 104.0.2 erschien zuerst auf soeren-hentzschel.at.

Di, 6. September 2022, Ralf Hersel

Ubuntu Flavours sind Community-betreute Derivate der normalen Ubuntu-Distribution, die sich meist durch eine andere Desktopumgebung vom Orginal unterscheiden. Aktuell gibt es diese Flavours: Kubuntu (KDE), Lubuntu (LXQt), Ubuntu Budgie, Ubuntu Kylin (UKUI), Ubuntu Mate, Ubuntu Studio und Xubuntu (Xfce). Neu hinzugekommen ist in dieser Woche die Distribution Ubuntu Unity.

Die Unity7-Desktopumgebung wurde von Canonical vor 12 Jahren entwickelt, um eine bessere Darstellung auf Netbooks und kleinen Bildschirmen zu erreichen. Von Ubuntu 11.04 bis Ubuntu 17.04 wurde Unity als Standard-Oberfläche genutzt, bevor Canonical 2017 bekannt gab, dass ab Version 18.04 wieder der GNOME-Desktop zum Einsatz kommen sollte.

Da sich Unity einer grossen Beliebtheit erfreute, wurde der Desktop vom UBports-Team übernommen und weiterentwickelt. 2020 kam die neue Version 8 heraus, die mittlerweile den Namen Lomiri trägt, um Verwechslungen mit der gleichnamigen Spiele-Engine zu vermeiden.

Seit Ubuntu 20.04 gibt es auch die Distribution Ubuntu Unity (ehemals Ubuntu Unity Remix), die vom Maintainer Rudra Saraswat gepflegt wird. Nun wurde Ubuntu Unity als offizielles Mitglieder in die Familie der Ubuntu Flavours aufgenommen. Ab der nächsten Version 22.10 steht Unity damit als offizielle Variante bereit.

Quelle: https://lists.ubuntu.com/archives/technical-board/2022-September/002670.html

Di, 6. September 2022, Lioh Möller

Die auf dem stabilen Zweig von Slackware basierende Distribution namens Salix wurde in Version 15.0 veröffentlicht. Wie es bereits in der Mutterdistribution der Fall ist, liefert auch Salix den Xfce Desktop in Version 4.16 aus. Darüber hinaus stehen im Repository der Distribution deutlich mehr Pakete zur Verfügung und Flatpak-Unterstützung ist standardmässig gegeben.

Firefox ist in der ESR Version 102 enthalten, LibreOffice 7.4 sowie GIMP 2.10. Für das Startmenü wurde ein Wechsel auf das populäre Whisker-Menü vollzogen.

Das Erscheinungsbild der Desktopoberfläche wurde vollständig überarbeitet und die neue Salix Version enthält neben einer neuen GTK Theme ein aktualisiertes Icon-Set und ein neues Hintergrundbild. Neben einer Light-Theme steht für Freunde eines dunkleren Erscheinungsbildes auch eine Dark-Theme zur Verfügung.

Quelle: https://forum.salixos.org/viewtopic.php?f=17&t=8409
Download (64bit): http://downloads.sourceforge.net/salix/salix64-xfce-15.0.iso

5. September 2022

Ab und zu benötige ich eine PKGBUILD-Datei, um damit ein Paket für Arch Linux zu erstellen, um dieses beispielsweise auf mehreren Computern im LAN zu installieren.

Nehmen wir https://aur.archlinux.org/packages/ttf-iosevka-term als beliebiges Beispiel. Man kann beispielsweise unter genannten Link auf “View PKGBUILD” klicken und dann den angezeigten Inhalt in einer PKGBUILD-Datei lokal speichern. Alternativ kann man auch git clone –depth 1 https://aur.archlinux.org/ttf-iosevka-term.git ausführen. Dieser speichert die gewünschte Datei automatisch aber man muss den genauen Link kennen. Ich finde beide Lösungen nicht besonders gut.

Heute bin ich auf das Tool pbget gestoßen. Mit diesem muss man nur den Namen des zu erstellenden Pakets kennen. Somit reicht der Befehl pbget –aur ttf-iosevka-term aus um die gewünschte PKGBUILD-Datei herunterzuladen. Die Angabe von –aur ist in dem Fall nötig, da ttf-iosevka-term nur im AUR vorhanden ist und pbget von Haus aus nur die offiziellen Paketquellen durchsucht.

Der Befehl sollte das Verzeichnis ttf-iosevka-term anlegen und in diesem die PKBUILD-Datei speichern. Wechselt man in dieses Verzeichnis und führt makepkg -crs PKGBUILD –noconfirm aus wird das Paket erzeugt. Oder man führt makepkg -cirs PKGBUILD –noconfirm aus, um das Paket auch gleich zu installieren.

Pbget findet man übrigens im AUR.

Um die Paketquellen von Red Hat für Red Hat Enterprise Linux (RHEL) nutzen zu können, wird eine sogenannte Software-Subskription benötigt. Diese bestimmt, auf welche Paketquellen ein System zugreifen und deren Inhalt konsumieren kann.

Das System der Subskriptionen befindet sich im Umbruch (siehe [1]). In diesem Artikel beschreibe ich, wie es bisher war, was sich durch die Aktivierung von Simple Content Access (SCA) [2] ändert und wie ich aktuell meine RHEL-Systeme registriere und deren System Purpose konfiguriere.

Der Text vermittelt dabei Wissen zum Red Hat Subscription Management (RHSM), Simple Content Access (SCA), Subscription Watch (SWatch), dem System Purpose und verlinkt relevante Quellen.

Aus Transparenz-Gründen möchte ich an dieser Stelle darauf hinweisen, dass ich Mitglied der Red Hat Accelerators bin (vgl. hier). Dieser Text spiegelt ausschließlich meine persönliche Meinung wider.

Subskriptions-Verwaltung ohne SCA

Eine Subskription berechtigt zur Nutzung bestimmter Paketquellen von Red Hat. Sie umfasst in der Regel eine gewisse Menge sogenannter Entitlements. Diese bestimmen, wie viele Systeme von einer Subskription abgedeckt werden.

Ein Beispiel: Eine Subskription für „Red Hat Enterprise Linux Server, Standard (Physical or Virtual Nodes)“ beinhaltet zwei Entitlements. Damit lassen sich ein physischer Server mit bis zu zwei CPU-Sockeln oder zwei virtuelle Maschinen (mit einer beliebigen Anzahl CPUs) zur Nutzung der Paketquellen berechtigen.

In der Regel werden RHEL-Systeme über den subscription-manager beim Red Hat Subscription Management (RHSM) oder einem Satellite Server registriert. Anschließend werden sie mit einer Subskription verknüpft. Wie man dies lösen kann, habe ich 2019 in dem Artikel RHEL-System registrieren und Subskription hinzufügen beschrieben.

Vorteile des RHSM

Das RHSM im Customer Portal bietet eine gute Übersicht über die vorhandenen Verträge, die Subskriptionen, deren Laufzeiten und verknüpfte Systeme. Man sieht hier auf einen Blick, ob man ausreichend Subskription hat, um all seine Systeme damit abdecken zu können.

Nachteile des RHSM

Um ein System beim RHSM zu registrieren und mit einer Subskription zu verknüpfen, muss das System eine Verbindung ins Internet zum RHSM-Dienst aufbauen. Dies ist im Datacenter häufig nicht erwünscht. Für Systeme ohne Zugang zum Internet gibt es die optionale Offline-Registrierung [3], welche jedoch etwas umständlich ist und bei vielen Offline-Systemen nicht skaliert.

Registriert man die Systeme nicht, ist man dennoch zu einer ordentlichen Buchführung verpflichtet, um sicherzustellen, dass man nicht dauerhaft mehr Systeme einsetzt, als durch vorhandene Subskriptionen abgedeckt sind.

Läuft ein Subskriptionsvertrag ab, werden die Entitlements ungültig. Die damit verknüpften Systeme fangen an, sich beim Update-Versuch darüber zu beschweren und verweigern den Zugriff auf die Paketquellen. Das ist besonders ärgerlich, weil es nach meiner Erfahrung bei jeder Vertragsverlängerung passiert. Denn tatsächlich wird der Vertrag nicht verlängert. Es gibt einen neuen Vertrag mit der entsprechenden Anzahl Subskriptionen. Diese müssen dann manuell neu verknüpft werden, was jedes Mal manuellen Pflegeaufwand bedeutet.

Vermutlich um dem zuvor genannten Ärgernis entgegenzuwirken hat Red Hat die Funktion auto-attach entwickelt. Wird die mit einem registrierten System verknüpfte Subskription ungültig sucht auto-attach automatisch nach einer geeigneten freien Subskription und verknüpft diese mit dem jeweiligen System. Nun mag sich manch einer Fragen, wie auto-attach wohl entscheidet, wenn es mehrere Subskriptionen gibt, die prinzipiell geeignet sind. Nach meiner Erfahrung wählt auto-attach mit einer Wahrscheinlichkeit von >95 % die am wenigsten geeignete Subskription aus. In meinen Augen nervt es mehr, als das es hilft.

Das Verknüpfen von Subskriptionen ist für die Buchführung praktisch, für den Betrieb eher nervig. Teilweise stört es sogar Betriebsabläufe, wenn z.B. Updates vorübergehend nicht installiert werden können. Um dem zu begegnen, hat Red Hat Simple Content Access (SCA) [2] geschaffen.

Was ändert sich durch SCA?

Wird SCA im RHSM aktiviert, müssen Subskriptionen nicht mehr mit Systemen verknüpft werden. RHEL-Systeme, die im RHSM registriert sind, erkennen dies und setzen für den Zugriff auf die Paketquellen kein Entitlement mehr voraus.

Vorteile

Der Betrieb wird vereinfacht. Ein System muss nur noch registriert werden und kann sofort auf Inhalte der diversen Paketquellen zugreifen.

Unterbrechungen im Betriebsablauf bei Ablauf einer Subskription gehören der Vergangenheit an.

Auch auto-attach bereitet nun keinen Ärger mehr.

Nachteile

Die Buchführung wird aufwändiger, da RHSM mit aktivierten SCA nur noch begrenzt dafür taugt. Man muss sich nun einen anderen Weg überlegen, wie man den Überblick behält.

Subscription Watch

Subscription Watch [4, 5] ist ein SaaS-Dienst in der Hybrid Cloud Console [6], welcher den Kunden dabei unterstützen soll, im Blick zu behalten, wie viele Subskriptionen er besitzt und wie viele er konsumiert. Dabei ist es möglich, mehr zu konsumieren, als man besitzt. Wird dies angezeigt, kann man handeln und fehlende Subskriptionen nachkaufen.

Leider hat die Sache einen Haken. Es funktioniert nicht richtig. In meinem Fall kommt eine Mischung aus kostenpflichtigen Subskriptionen und der Developer Subscription for Teams zum Einsatz. Im Subscription Watch gibt es einen Bug, durch den mir angezeigt wird, ich würde mehr Subskriptionen nutzen, als ich im Bestand habe, obwohl dies nicht der Fall ist.

Ich habe zu dem Fall ein Support-Ticket, in dem das Verhalten reproduziert werden konnte und der Fehler bestätigt wurde. Nur eine Lösung gibt es noch nicht. Leider ist Subscription Watch im aktuellen Status damit nutzlos für mich.

System Purpose

Was der System Purpose ist, wird im Detail in [1] und [7] beschrieben. Red Hat empfiehlt den System Purpose zu pflegen, um u.a. Subscription Watch dabei zu helfen, die konsumierten Inhalte korrekt zu zählen. Das hat folgenden Hintergrund.

Sowohl mit der „Red Hat Enterprise Linux Server, Standard (Physical or Virtual Nodes)“ Subskription als auch mit der „Developer Subscription for Teams“ darf man das RHEL-8-BaseOS-Repo nutzen. Gezählt werden soll in Subscription Watch jedoch nur die kostenpflichtige Subskription (Erstgenannte). Mit Hilfe des System Purpose gibt man an, ob es sich um ein Produktionssystem oder ein Test-/Entwicklungs-System handelt und steuert darüber, ob ein System in Subscription Watch gezählt wird.

Funktionieren tut das Ganze leider (noch) nicht. Unter anderem ist der zuvor erwähnte Bug dafür verantwortlich. Ich pflege den System Purpose jedoch trotzdem, in der Hoffnung, dass es in der Zukunft funktionieren wird.

Wie registriere ich meine Systeme heute?

Ich habe dazu eine kleine Ansible-Rolle erstellt, welche folgende Struktur besitzt:

roles/register_syspurpose/
├── defaults
│   └── main.yml
├── README.md
└── tasks
    └── main.yml

Das Readme.md enthält eine Beschreibung der notwendigen Variablen und ein Beispiel-Playbook, wie man diese Rolle nutzt:

register_syspurpose
===================

Register host to RHSM and set System Purpose.

Requirements
------------

 * [community.general collection](https://galaxy.ansible.com/community/general)

You might already have installed this collection if you are using Ansible Engine 2.9 or the `ansible` package. It is not included in `ansible-core`. To check whether it is installed, run `ansible-galaxy collection list`.

To install it, use: `ansible-galaxy collection install community.general`.

To use it in a playbook, specify: `community.general.redhat_subscription`.

Role Variables
--------------

```yaml
register_syspurpose_activationkey: register-syspurpose # activationkey for access.redhat.com or Satellite
register_syspurpose_org_id: 123456 # Org ID on access.redhat.com or Satellite
register_syspurpose_role: "Red Hat Enterprise Linux Server"
# possible values are:
# Red Hat Enterprise Linux Server
# Red Hat Enterprise Linux Workstation
# Red Hat Enterprise Linux Compute Node

register_syspurpose_sla: "Self-Support"
# possible values are:
# Premium
# Standard
# Self-Support

register_syspurpose_usage: "Development/Test"
# possible values are:
# Development/Test
# Disaster Recovery
# Production
```

I got these values from the KB [syspurpose_usage: "Development/Test"](https://access.redhat.com/articles/5713081).
There might be other possible values out there. In case you know some valid
addtional values please sent a PR to add them to this documentation.

Dependencies
------------

None.

Example Playbook
----------------

Including an example of how to use your role (for instance, with variables passed in as parameters) is always nice for users too:

~~~
- hosts: all
  gather_facts: no
  roles:
    - register_syspurpose
~~~

License
-------

MIT.

Author Information
------------------

Joerg Kastning - "joerg (dot) kastning '@' uni-bielefeld (dot) de"

Auch die Tasks-Datei ist sehr übersichtlich:

---
# tasks file for register_syspurpose
- name: Register system to RHSM and set syspurpose attributes
  redhat_subscription:
    state: present
    activationkey: "{{ register_syspurpose_activationkey }}"
    org_id: "{{ register_syspurpose_org_id }}"
    syspurpose:
      role: "{{ register_syspurpose_role }}"
      service_level_agreement: "{{ register_syspurpose_sla }}"
      usage: "{{ register_syspurpose_usage }}"
      sync: true

Um die Variablen mit Werten zu belegen, nutze ich group_vars. Ich verwende ein statisches Inventory, in dem ich Gruppen für die möglichen Kombinationen aus role, sla und usage definiert habe. So wird jeder neue Host der entsprechenden Gruppe hinzugefügt und anschließend bei der Provisionierung direkt registriert und korrekt konfiguriert. Detaillierte Informationen zum verwendeten Modul redhat_subscription bietet die Dokumentation unter [8].

Ihr seht, es steckt keine Magie in der Rolle. But I like to Keep It Simple, Stupid.

Fazit

Das Red Hat Subscription Management ist kompliziert, hat seine Macken, eine Geschichte und etliche Altlasten. Ein Team um Rich Jerrido hat es sich zur Aufgabe gemacht, das Subskriptions-System zu überarbeiten und alte Zöpfe abzuschneiden. Ich beneide das Team nicht um diese Aufgabe.

Das System befindet sich aktuell im Übergang (siehe [1]). Damit gehen Herausforderungen sowohl für Red Hat als auch dessen Kunden einher.

Das Red Hat die technischen Abhängigkeiten zwischen Betriebssystem und RHSM mit SCA abschafft, weiß ich zu schätzen. Schade, dass die Unterstützung bei der Buchführung dabei auf der Strecke bleibt.

Subscription Watch bietet mir auch in der nahen Zukunft keinen Nutzen. Um meinen Pflichten aus [9] nachzukommen, werde ich mir Red Hat Discovery näher ansehen. Meine Erfahrungen werde ich anschließend hier im Blog niederschreiben.

Quellen und weiterführende Links

  1. Transition of Red Hat’s subhttps://access.redhat.com/documentation/en-us/red_hat_subscription_management/2022scriptions 5ervices to console.redhat.com
  2. Simple Content Access (SCA)
  3. How to register and subscribe a system offline to the Red Hat Customer Portal?
  4. Subscription Watch
  5. Chapter 1. What is subscription watch?
  6. Red Hat Hybrid Cloud Console
  7. RHEL 8 Documentation: Chapter 12. Configuring System Purpose
  8. community.general.redhat_subscription module – Manage registration and subscriptions to RHSM using the subscription-manager command
  9. Red Hat Enterprise Linux subscription guide

2. September 2022

Viktor Garske hat kürzlich über https://blog.v-gar.de den Artikel Neuer Podcast über IT-Sicherheit: Risikozone veröffentlicht in dem er die Aussage getroffen hat, dass immer mehr Nachrichtenportale die RSS-Feeds eingestellt haben.

Der Aussage will ich nicht unbedingt widersprechen. Viele Internetseiten nutzen aber beispielsweise WordPress. Und viele dieser Seiten bieten zwar offiziell keinen RSS-Feed an, vergessen allerdings diesen zu deaktivieren. Somit kann man, wenn man die Adressen kennt, trotzdem die Feeds abrufen. Im Falle von WordPress kann man sich an https://wordpress.org/support/article/wordpress-feeds/ orientieren um die Adresse des Feeds herauszufinden.

Somit kann man in vielen Fällen trotzdem RSS-Feeds abrufen, auch wenn die betreffende Seite offiziell keine Feeds anbietet.

Https://fryboyter.de bietet beispielsweise über https://fryboyter.de/categories/osbn/index.xml einen Feed für die Artikel an, die auf https://osbn.de und https://planet.ubuntuusers.de veröffentlicht werden. Über https://fryboyter.de/index.xml erreicht man den Feed für alle Artikel die ich auf fryboyter.de veröffentliche.

Vielleicht wäre es daher keine schlechte Idee, Feed-Adressen von Internetseiten zu sammeln, die offizielle gar keinen RSS-Feed anbieten.

1. September 2022

Die MZLA Technologies Corporation hat mit Thunderbird 102.2.1 ein Update außer der Reihe veröffentlicht. Dabei handelt es sich um ein wichtiges Sicherheits-Update. Nutzern wird empfohlen, ihren E-Mail-Client schnellstmöglich zu aktualisieren.

Neuerungen von Thunderbird 102.2.1

Mit dem Update auf Thunderbird 102.2.1 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht. Das Team empfiehlt bestehenden Nutzern ausdrücklich, das Update so schnell wie möglich zu installieren, da dieses wichtige Sicherheitskorrekturen beinhaltet.

Darüber hinaus bringt Thunderbird 102.2.1 auch wieder einige Fehlerbehebungen und Verbesserungen unter der Haube, welche sich in den Release Notes (engl.) nachlesen lassen.

Der Beitrag MZLA veröffentlicht wichtiges Sicherheits-Update Thunderbird 102.2.1 erschien zuerst auf soeren-hentzschel.at.

31. August 2022

Heute eine Nachricht in eigener Sache. Während immer mehr Nachrichtenportale sukzessive ihre RSS-Angebote einstellen, erlebt momentan ein Medium, das fundamental darauf aufbaut, einen kometenhaften Aufstieg in der Breite: der Podcast. Technisch handelt es sich dabei um eine Erweiterung des RSS-2.0-Standards und ermöglicht, dass der ein und selbe Inhalt an verschiedene Podcatcher, also Podcast-Clients, ausgespielt wird. Zunehmend übernehmen Streaming-Plattformen wie Spotify das Konzept und führen eigene Verzeichnisse hierfür ein.

Der Podcast ist in der Medienlandschaft längst angekommen und entwickelt sich zu einem beliebten Gesprächsformat. Es gibt bereits Stimmen, die ihn schon als Nachfolger des Blogs sehen. Besonders trenden Themen zu Politik, Wirtschaft, aber auch Technologie. Eine nicht zu unterschätzende Nische ist dabei die IT-Sicherheit – und diese Nische möchte ich in meinem neusten Projekt füllen.

Mein neuer Podcast „Risikozone“ geht ab morgen, dem 01. September 2022 an den Start und beschäftigt sich u. a. mit den Themen IT-Sicherheit, Open-Source-Software und Künstliche Intelligenz bzw. Maschinelles Lernen. Im Podcast kann ich endlich die Themen behandeln, die zu lang für einen Blogartikel, aber zu kurz für ein Video/-kurs sind, oder gar nicht in die beiden Kategorien passen. Es geht auch um Grundlagenthemen der Kryptographie, Computerkommunikation und des Datenschutzes sowie um aktuelle Nachrichten aus diesen Bereichen. Die Zielgruppe liegt in der Breite: es geht darum, IT zu vermitteln. Aus diesem Grund werden die technisch tiefgreifenden Themen weiterhin im Blog behandelt, während im Podcast weitere Themen Einzug finden können.

Pro Monat sollen mindestens zwei ca. 20 bis 45 Minuten lange Episoden enstehen, die dann über unterschiedlichste Wege abrufbar sind. In den Folgen werden entweder Gäste dabei sein oder ich werde alleine Schwerpunktthemen vorstellen.

Um den Podcast zu abonnieren, gibt es verschiedene Möglichkeiten: da heutzutage die Plattformökonomie auch bei Podcasts angekommen ist, möchte ich hier Spotify und Apple Podcasts erwähnen, bei weiteren Plattformen folgt die Listung in Kürze. Der Feed des Podcasts ist unter https://risikozone.de/feed/mp3/ erreichbar. Weitere Informationen und Aktualisierungen sind auch auf der entsprechenden Seite verfügbar.

Morgen Vormittag werden die beiden ersten Episoden veröffentlicht, in denen es um das Thema E-Mail-Sicherheit geht. Eine Trailerepisode 0 ist bereits jetzt schon verfügbar. Wie es dann weitergeht, könnt ihr mit eurem Feedback auch mitentscheiden. Gefällt es euch, habt ihr Themenvorschläge oder Anmerkungen? Das alles könnt ihr an info@risikozone.de schicken.

Darüber hinaus könnt ihr gerne, wenn euch der Podcast gefällt, euren Freunden und eurer Familie davon erzählen oder ihn auf Spotify und/oder Apple Podcasts bewerten und uns dort folgen.

Zur üblichen Arbeit eines Systemadministrators gehört der Umgang mit persistentem Speicher (a.k.a. Festplatte), der heutzutage in Form von HDDs, SSDs oder auch NVMes daherkommt. Üblicherweise werden in Produktivsystemen die Platten in einem RAID angeordnet, um bei einem Festplattenausfall die Verfügbarkeit des Systems zu erhöhen. Soll in diesem Zusammenhang allerdings eine Festplatte vor einem drohenden Ausfall manuell aus dem RAID entfernt werden, ist es ratsam, sie vorher sicher zu löschen. In diesem Artikel möchte ich allerdings kurz umschreiben, warum der Hinweis, Backups vor jeglicher Formatierung zu erstellen, so wichtig ist - besonders bei NVMe-Speichern.

Um die gleich folgende Syntax zu verstehen, sei noch gesagt, dass unter Linux ein bestimmtes Schema existiert, wie Festplatten oder eben NVMes angesprochen werden. Bei SCSI- bzw. SATA-Platten kennt man z. B. /dev/sda für die erste erkannte SATA-Festplatte (= sd für den Treiber und a für die Platte) und /dev/sda3 für die dritte Partition (= 3) auf der ersten erkannten SATA-Festplatte. Wichtig ist, dass "erste erkannte Festplatte" genau so relativ verstanden werden muss, wie es klingt. Wird, aus welchem Grund auch immer, eine andere Festplatte zu erst erkannt und ist die Buchstabenzuweisung nicht persistiert, ändert sich über mitunter auch die Zuweisung. Nicht ohne Grunde werden Linux-Nutzer angehalten, mit UUIDs eindeutig identifizierbare Bezeichner für ihre /etc/fstab zu nutzen.

Bei NVMe ist das scheinbar ähnlich, auch wenn es hier einen Zusatz gibt. Eine Partition auf einem NVMe-Gerät, das alleine in einem Rechner steckt (d. h. nur eine NVMe ist eingebaut) könnte /dev/nvme0n1p3 heißen. Hier bedeutet die Syntax, dass es sich um die dritte Partition (p3) auf dem ersten Namespace (n1) hinter dem Controller mit der Nummer 0, handelt, das über den NVMe-Treiber angesprochen wird. NVMes verfügen mit Namespaces über eine weitere Abstraktionsschicht, sodass der NVMe-Controller seinen Storage in Namespaces unterteilen kann, die jeweils über eine eigene Partitionstabelle verfügen.

Im administrativen Umgang arbeitet man oft mit mehreren Block-Devices, einerseits der "Platte selber", klassischerweise einer /dev/sda, und den Partitionen, also /dev/sda3. Bei NVMe ist die "Platte selber" in den allermeisten Fällen ein Namespace, also /dev/nvme0n1 und NICHT /dev/nvme0.

Es gibt allerdings ein Szenario, wo man mal den Controller direkt ansprechen muss: beim Kommando nvme format. Hier gibt es eine Syntax, wo als Argument das NVMe-Device, also der Controller, angesprochen und der Namespace per Option übergeben wird. Ich durfte nun erleben, wie das sehr, sehr schiefgehen kann.

Wer nämlich glaubt, dass man von /dev/nvme1n1 auf den Controller /dev/nvme1 schließen kann, irrt sich gewaltig. Diese beiden Bezeichner haben streng genommen nichts miteinander zu tun. Und so kann es dazu führen, dass wenn

  • man zwei NVMe-Devices hat
  • /dev/nvme1n1 behalten und
  • /dev/nvme0n1 mittels nvme format /dev/nvme0 -n 1 löschen möchte,

man sich potenziell den Boden unter den Füßen wegzieht und die eigentlich zu behaltende NVMe löscht - was nach der Formatierung mit der netten Fehlermeldung bash: <executable>: cannot execute binary file: Exec format error quitiiert wird, wenn man das nächste Kommando in der Bash aufrufen will.

Der Zusammenhang wird zwischen /dev/nvmeX und /dev/nvmeYn1 nämlich - NVMe Multpathing sei dank - dynamisch gewählt. Und ich bin nicht der einzige, dem das aufgefallen ist. Normalerweise hängen die Bezeichner zusammen, aber wenn man beim Tausch der NVMes zwischendurch Reboots durchführen muss, kann sich die Reihenfolge schon mal verdrehen - aber eben nur halb.

Und so muss man manuell nachprüfen, welches Device wirklich hinter dem Block-Device eines Namespaces steckt:

me@server:~$ ls -l /sys/block/nvme1n1/device
lrwxrwxrwx 1 root root 0 Aug 31 19:43 /sys/block/nvme1n1/device -> ../../nvme0

In diesem Fall steckt hinter /dev/nvme1n1 das Device /dev/nvme0. Muss man beachten.

Dies hat übrigens nicht nur auf das Formatieren Auswirkungen: auch die SMART-Überwachung zeigt für /dev/nvme0n1 und /dev/nvme0 völlig unterschiedliche Resultate an. An dieser Stelle ist mir übrigens erst aufgefallen, dass der Zusammenhang zwischen den Devices mitunter nicht-systematisch gewählt werden könnte.

Was lernen wir daraus? Neue Treiber, wie in unserem Fall nvme, bringen neue Herausforderungen mit. Es ist gut, sich jedes Mal, wenn man seine Produktivsysteme mit neuen Fähigkeiten ausstattet, mit der Dokumentation und dem Standard hinter dem Treiber zu beschäftigen. Darüber hinaus - und das ist noch viel wichtiger - sollte man jederzeit auf seine Backups als zusätzliches Sicherheitsnetz achten, weil es immer etwas geben wird, was man übersieht. In meinem Fall hatte ich Glück, weil der betroffene Server aus der Testumgebung stammte und das Formatieren der falschen Platte nur vernachlässigbare Auswirkungen hätte - ich bin aber froh, auf diesem Umstand aufmerksam geworden zu sein und wollte euch an dieser Stelle einfach "vorwarnen".

Mi, 31. August 2022, Lioh Möller

Ähnlich wie es bei KDE Plasma bereits seit einiger Zeit der Fall ist, möchte nun auch das GNOME Projekt Telemetriedaten erheben, um die Software langfristig zu verbessern.

Dazu hat der Entwickler Vojtech Stanek im Rahmen eines Interships bei Red Hat eine Anwendung namens gnome-info-collect veröffentlicht. Pakete stehen bereits für unterschiedliche Distributionen wie Fedora, Ubuntu, Arch Linux und openSUSE zur Verfügung.

Aktuell sammelt und übermittelt das Programm unter anderem:

  • Hardware-Informationen, einschliesslich Hersteller und Modell.
  • Verschiedene Systemeinstellungen, wie die Workspace-Konfiguration und welche Freigabefunktionen aktiviert wurden.
  • Anwendungsinformationen, z. B. welche Anwendungen installiert sind und welche bevorzugt werden.
  • Welche GNOME-Shell-Erweiterungen installiert und aktiviert wurden.

Eine vollständige Liste aller gesammelten Informationen findet man im README des Projektes.

Die übermittelten Daten werden anonymisiert und enthalten keine persönlichen Informationen. Vor dem Absenden werden alle Telemetriedaten aufgelistet und der Anwender muss der Übertragung aktiv zustimmen.

Quelle: https://blogs.gnome.org/aday/2022/08/25/help-improve-gnome/

29. August 2022

Mo, 29. August 2022, Lioh Möller

Das Debian Projekt liefert die hauseigene Distribution standardmässig ohne unfreie Firmwarekomponenten aus. Dies galt als klares Bekenntnis für Freie Software, auch wenn alternative Installationsmedien zur Verfügung standen, welche allerdings nicht aktiv beworben wurden.

Der Debian-Entwickler Steve McIntyre hatte bereits im April dieses Jahres dazu aufgerufen, das Thema neu zu diskutieren, da insbesondere Einsteiger sonst kaum in der Lage seien, die Distribution erfolgreich auf Hardware zu installieren, auf der beispielsweise der integrierte Netzwerkadapter ohne Binary Blobs nicht nutzbar ist.

Dies mündete nun in eine General-Resolution, dessen Diskussionsphase am 3. September 2022 endet. Sie besteht aus drei Varianten, wobei die erste eine Modifikation und einen vollständigen Ersatz der bisherigen Installationsmedien vorsieht. Die zweite Variante befürwortet die Erstellung von Installationsmedien mit unfreier Firmware unter Beibehaltung der bisherigen Medien. Für Einsteiger sollen die neu erstellten Abbilder prominenter ersichtlich sein, wobei die Images ohne Binary Blobs weiterhin angeboten werden sollen. In beiden Varianten soll bei einer Nutzung eines unfreien Installationsmediums automatisch das entsprechende Repository, welches die Firmware-Pakete enthält, auf dem Zielsystem aktiviert werden.

Variante 3 zielt darauf ab, Installationsmedien mit unfreien Komponenten anbieten zu können, den Anwender allerdings vor dem Download darüber zu informieren, was eine Nutzung dieser bedeuten würde. Medien ohne unfreie Firmware sollen in diesem Falle weiterhin gleichwertig beziehbar sein.

Aktuell erhält Variante 1 die meiste Unterstützung, was einen klaren Schritt in Richtung Unfreiheit bedeuten würde.

Damit würde mit Debian GNU/Linux eine weitere populäre Distribution den Weg in die Unfreiheit gehen, um Anwendern die Nutzung zu erleichtern. Somit würde eine wertvolle Chance zur Sensibilisierung und Information verloren gehen.

Mo, 29. August 2022, Lioh Möller

Zur Verwaltung von Linux und macOS Systemen über den Webbrowser eignet sich die Anwendung OliveTin, mit der auf sichere Weise vordefinierte Shell-Befehle ausgeführt werden können.

Dazu kann zunächst das bereitgestellte Paket im rpm oder deb Format heruntergeladen und installiert werden. Alternativ steht in Binary-Archiv oder der Quellcode zur Verfügung. Eine Nutzung in Docker oder Kubernetes ist ebenfalls möglich.

Die eigentliche Konfiguration erfolgt im YAML Format in der Datei /etc/OliveTin/config.yaml

Ein einfaches Beispiel sieht dabei wie folgt aus:

actions:
  - title: "Hello world!"
    shell: echo 'Hello World!'

Daraufhin kann der Dienst aktiviert und gestartet werden:

systemctl enable --now OliveTin

Ein Zugriff auf die Oberfläche ist standardmässig via http über Port 1337 möglich. Daher empfiehlt sich der Einsatz eines Proxy Servers wie NGINX Proxy Manager oder Traefik.

Die Web-GUI ist responsive und bietet einen Dark-Mode an.

Quelle: https://www.olivetin.app/
Dokumentation: https://docs.olivetin.app/index.html

Links meint in diesem Artikel insbesondere Lesezeichen (engl. Bookmarks), wie sie häufig im Webbrowser gespeichert werden. Und Shaarli (engl.) ist eine simple und schnelle Anwendung, um diese zu speichern, verwalten und teilen zu können.

In der Vergangenheit habe ich wiederholt Lösungen gesucht, um meine Lesezeichen im Webbrowser auf verschiedenen Geräten synchron zu halten. Bisher habe ich mich stets an einem oder mehreren der folgenden Punkte gestört:

  • Die Lösungen funktionierten nur mit einem Browser (z.B. Firefox oder Chrome)
  • Die Lösungen waren cloud-basiert. Ich möchte meine Links aber nach Möglichkeit nicht in einem Cloud-Dienst speichern.
  • Es mussten Browser-Plugins installiert werden, die mit der nächsten Browserversion nicht mehr funktionierten oder nach ein paar Monaten eingestellt wurden.
  • Man musste dazu Dienste hosten, von denen man 90 % der Funktionalität nicht genutzt hat.
  • Es funktionierte nie auf allen meinen Geräten.

Dabei ist es mir gar nicht wichtig, dass die Links synchronisiert werden. Ich möchte nur von all meinen Geräten auf die gleiche Sammlung zugreifen können. Eine umfangreiche und wachsende Linksammlung hier im Blog zu pflegen skaliert jedoch auch nicht. Und hier kommt Shaarli ins Spiel.

Nach eigener Darstellung kann Shaarli (engl.) genutzt werden, um:

  • interessante Links zu speichern, kommentieren und zu teilen.
  • von verschiedenen Computern und mobilen Geräten auf diese Links zuzugreifen.
  • als Microblog zu dienen.
  • als ToDo-Liste oder lese-ich-später-Liste zu fungieren.
  • eine Wissensdatenbank mit Notizen und Code-Schnipseln zu erstellen.
  • etc.

Ich selbst nutze Shaarli aktuell vorwiegend zum Speichen von Links, welche ich mit Titel, Beschreibung und Tags versehen und organisieren kann. Zusätzlich können Links als privat markiert werden, wodurch sie erst nach einem Login abrufbar sind.

Mir gefällt die einfache und schnelle Erfassung neuer Links. Die folgenden drei Screenshots veranschaulichen dies.

Shaarli add link dialog
HInzufügen eines Links zu Shaarli
Shaarli save dialog.
Hinzufügen von Titel, Beschreibung und Tags
Shaarli WebUI
So sieht der Link anschließend im WebUI aus

Die Projektdokumentation ist brauchbar und die Anwendung lässt sich ohne großen Aufwand auch selbst betreiben. Bei mir läuft sie unter Debian in einem rootless-Podman-Container (engl.).

Fazit

Schnelle und einfache Einrichtung der Anwendung sowie Erfassung von Links machen dieses Projekt zu einem nützlichen Werkzeug in meinem Alltag. And of course, it’s Open Source.

Da bleibt mir nur noch zu sagen: „Danke Dirk für den Tipp.“

Referenzen

28. August 2022

Das alte Problem scheint immer noch zu bestehen: Kaum hat man sich an eine Gnome-Erweiterung gewöhnt, kommt das Update auf die nächste Gnome-Shell-Version – und die Erweiterung ist deaktiviert, weil noch nicht angepasst an die neueste Version. Manchmal kommt die Lösung jedoch von unerwarteter Seite.


Dash to Dock

Die Haltbarkeit einer Fedora-Version beträgt rund ein Jahr – nach Erscheinen der übernächsten Version (die ca im Halbjahresrhytmus erscheinen), ist daher spätestens ein Upgrade angesagt. Da demnächst Nummer 37 erscheint, war die Idee, eine hier noch laufende 35 noch schnell auf die aktuelle 36 zu bringen. Nach dem Upgrade auf Fedora 36 dann die Überraschung: Das Dock war verschwunden.

In Wirklichkeit war es noch da, aber nur noch im Übersichtsmodus zu erreichen – weil die bislang aktive Erweiterung „Dash to Dock“ mit der nun genutzten Gnome-Shell-Version als inkompatibel angezeigt wurde. Auch auf der Erweiterungs-Website wurde sie nicht aktualisiert angeboten. Doch so weit musste man gar nicht suchen: Fedora liefert die Erweiterung in der nötigen Anpassung direkt in den Paketquellen mit, die Erweiterung lässt sich mit dem entsprechenden Befehl nachinstallieren, gnome-shell-extension-dash-to-dock brachte das Dock zurück:

Ubuntu-Nutzer haben das Problem nicht beim Update, hier ist eine modifizierte Variante der Dash-to-Dock-Erweiterung stets in die angebotene Gnome-Verson integriert. Doch beim offiziellen Gnome bleibt es eine Erweiterung, die nicht einmal zu den vom Gnome-Projekt selbst betreuten Kernerweiterungen zählt (und bei denen darauf geachtet wird, dass sie mit Erscheinen einer neuen Gnome-Version auch zu dieser kompatibel ist). Dabei zählt Dash to Dock nun schon seit Jahren zu den beliebtesten Erweiterungen bei extensions.gnome.org.

Nicht nachvollziehbar

Es bleibt unverständlich, weshalb bei „purem“ Gnome weiterhin am Konzept festgehalten wird, dass das Dock nur nach Drücken der Windowstaste oder beim Ansteuern der oberen linken Bildschirmecke sichtbar wird und keine entsprechende Einstellung zum Verhalten angeboten wird. Spätestens seit der Verlegung der Leiste an den unteren Bildschirmrand ist die Bedienung ohne Erweiterung aus Usability-Sicht – auf die das Gnome-Projekt doch scheinbar so viel Wert zu legen scheint – katastrophal, wenn man mehrere Programme über diesen Weg starten möchte. Sollen Gnome-Nutzer ernsthaft immer nur mit einem einzigen Programm arbeiten? Ist das tatsächlich so ungewöhnlich, mal zwei Programme parallel starten zu wollen?

Auf andere Anwenderwünsche reagieren die Gnome-Entwickler. So werden mit Gnome 43, z. B. die Ordner-Embleme zurückkommen, die es bei Gnome 2 schon einmal gegeben hatte und die man auch noch bei den Dateimananager von Mate oder XFCE kennt: Ordner lassen sich damit zusätzlich mit kleinen Symbolen kennzeichnen. Warum das nicht auch beim „Panel“ klappt, bleibt das Geheimnis der Macher. Vielleicht will man es für die Nutzerschaft einfach spannend halten, ob die Distributionen beim nächsten Upgrade ans Paketieren gedacht haben oder nicht.

26. August 2022

24. August 2022

Mozilla hat Firefox 104 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Performance-Verbesserungen

Für eine verbesserte Performance und Stromverbrauch wird die Leistung der Firefox-Oberfläche jetzt gedrosselt, wenn Firefox minimiert oder verdeckt ist, in der gleichen Weise, wie es für Tabs im Hintergrund bereits länger geschieht.

Der Performance-Profiler kann jetzt auch den Stromverbrauch einer Website analysieren. Vorausseetzung hierfür ist ein Mac-Computer mit Apple Silicon-Prozessor oder ein Computer mit Windows 11 als Betriebssystem.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 104 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 104 daher für alle Nutzer dringend empfohlen.

Verbesserungen der Webplattform

Der CSS Scroll Snapping-Support wurde um Unterstützung von scroll-snap-stop und re-snapping erweitert.

Auf JavaScript-Seite erwähnenswert ist die Unterstützung von Array.prototype.findLast(), Array.prototype.findLastIndex(), TypedArray.prototype.findLast() sowie TypedArray.prototype.findLastIndex().

Cookies der gleichen Domain werden nicht länger wie Cookies der gleichen Domain behandelt, wenn sich diese im verwendeten Protokoll (http:// vs. https://) unterscheiden.

Weitere Neuerungen für Webentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Sonstige Neuerungen von Firefox 104

Die Untertitel-Funktion für Bild-im-Bild-Videos wurde mit den letzten Updates um immer mehr Video- und Streaming-Plattformen erweitert. Mit Firefox 104 folgt die Unterstützung von Disney+ und der Washington Post.

Wenn Firefox für einen Dateityp so konfiguriert ist, dass vor dem Download immer nachgefragt werden soll, und der Nutzer über diesen Dialog den Download einer Datei bestätigt, wird nicht länger automatisch das Download-Panel geöffnet.

Wird eine Website über http:// statt https:// aufgerufen, zeigt Firefox unter Password-Feldern eine Warnung an, dass die Übertragung des Passwortes unverschlüsselt erfolgt und daher nicht sicher ist. Diese Warnung konnte bisher über den Schalter security.insecure_field_warning.contextual.enabled in about:config deaktiviert werden. Ab Firefox 104 lässt sich diese Warnung nicht mehr abschalten.

Der Menü-Eintrag Weitere Werkzeuge > Task Manager verweist nun auf about:processes anstelle von about:performance.

Die Konsole für Entwickler unterstützt jetzt eine Vorschau für URLSearchParams-Objekte.

Der Beitrag Mozilla veröffentlicht Firefox 104 erschien zuerst auf soeren-hentzschel.at.

Wer über die Anschaffung eines VPNs nachdenkt, kann das Mozilla VPN mittels Rabatt-Code aktuell mit 20 Prozent Preisnachlass erhalten.

Mit dem Mozilla VPN bietet Mozilla in Zusammenarbeit mit Mullvad sein eigenes Virtual Private Network an und verspricht neben einer sehr einfachen Bedienung eine durch das moderne und schlanke WireGuard-Protokoll schnelle Performance, Sicherheit sowie Privatsphäre: Weder werden Nutzungsdaten geloggt noch mit einer externen Analysefirma zusammengearbeitet, um Nutzungsprofile zu erstellen.

Jetzt 20 Prozent Rabatt sichern

Bereits Anfang des Monats hatte ich auf eine Rabatt-Aktion hingewiesen, über welche man 17 Prozent Rabatt auf das Mozilla VPN erhalten kann. Während diese Rabatt-Aktion immer noch gültig ist, gibt es nun einen weiteren Rabatt-Code, der sogar 20 Prozent Rabatt bringt. Im Gegensatz zur 17-Prozent-Aktion, welche auch für sechs oder gar nur einen Monat gilt, ist dieser Rabatt-Code allerdings nur bei einem Jahr Bindung gültig. Hierfür muss nach Auswahl der Jahres-Option auf der Mozilla-Website der folgende Code im Warenkorb eingegeben werden:

VPN20

Der Preisnachlass wird umgehend im Warenkorb abgezogen. So kostet das Mozilla VPN statt 59,88 € nur 47,90 € für das erste Jahr und ist damit günstiger als bei Mullvad selbst. Ab dem zweiten Jahr gilt der reguläre Preis.

Nach Angaben von Mozilla gilt der Rabatt-Code für die ersten 2.500 Bestellungen des Jahres-Abos.

Der Beitrag Nur für kurze Zeit: 20 Prozent Rabatt auf das Mozilla VPN erschien zuerst auf soeren-hentzschel.at.

F-Droid ist als freier App Store für Open Source-Apps ein unverzichtbares Mittel für alle Android-Nutzer mit Aftermarket-Lösungen. Die originale F-Droid App ist leider nicht besonders gut. Zum Glück gibt es Alternativen.

Alternativen Zugängen zu F-Droid hat sich gestern bereits ein Artikel auf GNU/Linux.ch gewidmet. Das Problem ist schnell umrissen. F-Droid als Idee und umfassender App Store für OSS-Apps ist toll, die F-Droid App selber ist es nicht. Da geht es nicht nur um Probleme mit der Sicherheit, sondern auch um ganz ordinäre Bugs. Die App lässt sich reproduzierbar bei verschiedenen Aktionen zum Abstürzen bringen, sucht nicht konsequent nach Updates, scheitert bei der Aktualisierung von Apps etc. pp.

Schön bei Open Source ist, dass es meistens Alternativen gibt – so auch bei F-Droid. Die Repositorien-Infrastruktur ist nicht fest mit einer App verbunden, sondern es gibt neben der offiziellen Apps verschiedene alternative Apps für den Zugriff auf F-Droid. Während bei GNU/Linux.ch Droid-fy den Vorzug gegeben wird, setzte ich schon länger auf den Neo-Store. Die Entwicklung dort scheint mir insgesamt agiler zu sein. Verglichen mit F-Droid sind beide Apps aber ein Fortschritt.

Neo-Store präsentiert sich übersichtlich gemäß den aktuellen Design-Richtlinien von Google für Material 3. Es lassen sich neue Apps entdecken, installierte Apps anzeigen und die kuratierten Apps werden in einer Übersicht präsentiert.

Es gibt eine umfassende Verwaltung für Drittanbieter-Repositories, bei der viele verfügbare Quellen bereits hinterlegt sind und nur noch aktiviert werden müssen. Auch sehr neue Quellen wie Threema sind dort bereits verfügbar.

Die Einstellungen sind umfangreich und es lassen sich die Synchronisationsintervalle für Aktualisierungen der Paketquellen genau festlegen.

Anwender von Android, die viele Apps über F-Droid beziehen, sollten sich definitiv mit alternativen Stores beschäftigen. Mein Eindruck ist, dass sich die Situation bei der offiziellen App nicht bessert und Fortschritte und Fehlerbehebungen dort nur im Schneckentempo erfolgen.

23. August 2022

Die MZLA Technologies Corporation hat mit Thunderbird 102.2 ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht.

Neuerungen von Thunderbird 102.2

Mit dem Update auf Thunderbird 102.2 hat die MZLA Technologies Corporation ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht und behebt damit aktuelle Sicherheitslücken. Darüber hinaus bringt das Update diverse Fehlerbehebungen und Verbesserungen, welche sich in den Release Notes (engl.) nachlesen lassen.

Der Beitrag Thunderbird 102.2 veröffentlicht erschien zuerst auf soeren-hentzschel.at.